繼WannaCry、Petya之後, 東歐再次遭受勒索病毒“Bad Rabbit”壞兔子病毒攻擊, 這次病毒攻擊主要針對企業內網, 現已擴散到美國、日本多國。
與5月爆發的WannaCry類似, 受到Bad Rabbit攻擊的設備會遭到惡意加密, Bad Rabbit勒索軟體在開屏頁面稱, 要求支付0.05比特幣(約合人民幣1800元), 否則無法使用檔。
Bad Rabbit能夠通過共用和弱密碼在內網擴散, 一旦企業內網有一台設備感染該病毒, 則其他聯網設備極易一同遭殃, 令企業陷入癱瘓, 目前已經證實的受害公司包括俄羅斯國際文傳電訊社、基輔地鐵、奧德薩機場等。
怎樣的操作會感染上Bad Rabbit?
據瞭解, 中招設備往往在最初是被流覽器提示的“Adobe Flash”外掛程式更新提醒迷惑的。
攻擊者會首先攻擊一些常用網站, 使流覽網站頁面的使用者收到網站發來的Adobe更新彈窗, 當用戶點擊下載時, 檔會以“install_flash_player.exe”這樣虛假的Flash安裝程式名存儲, 並引誘使用者安裝。
一旦套裝程式被安裝, 就會執行以下操作:
執行解密檔
關閉中招設備, 自動加密檔
重啟設備, 鎖定螢幕
研究還發現, Bad Rabbit繼承Petya的核心法則, 也同樣採取雜湊演算法加密檔, 此外, Bad Rabbit還會往受感染的電腦裡安插一個叫Mimikatz的工具, 用來竊取密碼和其他個人敏感資訊。
防範Bad Rabbit建議採取如下措施:
及時更新系統補丁, 調高防火牆安全等級;
對勒索軟體可能使用的其他入侵途徑採取主動預防, 如郵件, 網站;
禁用SMB埠;
在內網使用更複雜的密碼。
在這些措施中, 主動預防勝過其他被動防禦手段。 這是因為病毒變種隨時可能出現, 而防禦永遠是落後於攻擊的。
主動預防中, 關閉網站彈窗是一個方案, 另外, 還需要防範釣魚郵件中暗藏的惡意程式。